Il a été démantelé et ses créateurs présumés ont plaidé coupable, mais son héritage se perpétue.
Lui, c’est Mirai.
Ce bot conçu pour prendre le contrôle d’objets connectés faiblement sécurisés – typiquement, ceux dont on n’a pas changé le mot de passe par défaut – avait fait ses premières victimes majeures à l’automne 2016, peu après la publication de son code source.
Il avait notamment été exploité dans le cadre d’une attaque par déni de service distribué (DDoS) contre OVH, dont les serveurs avaient été mis à mal par les requêtes simultanées de plus de 100 000 caméras IP.
Un autre assaut d’envergure avait frappé Dyn, le gestionnaire d’infrastructures DNS. De nombreux services s’en étaient trouvés perturbés, faute de pouvoir faire le rapprochement entre les noms des sites et les adresses de leurs serveurs Web.
De multiples variantes de Mirai ont émergé depuis lors. On a par exemple vu, l’an dernier, émerger Satori, qui a notamment « internalisé » la détection d’équipements vulnérables en s’appuyant sur des failles plutôt que sur de la force brute.
Une autre déclinaison, baptisée Okiru et qu’on attribue au même individu, vise spécifiquement les appareils dotés de processeurs ARC (architecture RISC). Sa découverte est récente, comme celle de Masuta et de sa variante PureMasuta, qui exploite une vulnérabilité dans le protocole d’administration HNAP.
La liste vient de s’allonger avec Mirai OMG, ainsi dénommé en rapport à une chaîne de caractères qu’on retrouve à plusieurs reprises dans son code.
Fortinet le décrit comme le premier bot capable d’utiliser les machines infectées non seulement pour lancer des DDoS, mais aussi pour en faire des proxys probablement commercialisés auprès d’individus désireux d’anonymiser leurs activités sur le Net.
Bleeping Computer relativise cette affirmation, estimant que le malware est plus vraisemblablement le premier dans son genre à être distribué si massivement – et de donner l’exemple de ProxyM, impliqué l’an dernier dans des campagnes de spam.
Mirai OMG reprend de nombreuses caractéristiques de la souche dont il dérive ; entre autres, l’aptitude à « tuer » des processus (y compris d’autres bots).
Il a toutefois des fonctionnalités supplémentaires, comme un fichier de configuration embarqué et la possibilité d’ouvrir, dans les pare-feu, deux ports définis aléatoirement.
À la première connexion, le serveur de commande et de contrôle (C&C) lui communique une valeur qui active la fonction proxy (0) ou le mode DDoS (1).
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…